- Se ISO 27002:2022 Kontrol 5.11 for mere information.
- Se ISO 27001:2013 Bilag A 8.1.4 for mere information.
Sikker og kompatibel aktivretur med ISO 27001 kontrol 5.11
ISO 27001:2022 Kontrol 5.11 i bilag A foreskriver, at personale og andre interesserede parter skal returnere alle aktiver ejet af organisationen ved ændring af ansættelse, kontrakt eller aftale.
Ved ophør af ansættelse, kontrakt eller aftale forventes medarbejdere og eksterne brugere at returnere alle oplysninger og organisatoriske aktiver.
Medarbejdere, entreprenører og andre skal være forpligtet til at erstatte alle aktiver. Denne forpligtelse vil være inkluderet i de relevante aftaler med personale, entreprenører og andre.
En solid, dokumenteret proces skal styre tilbageleveringen af aktiver. Denne proces kan dokumenteres for hver enkelt person eller leverandør, der gennemgår den. Bilag A.6.5 for menneskelig ressourcesikkerhed, bilag 6.6 for fortrolighedsaftaler og bilag A.5.20 for leverandøraktivitet tilpasser dette med exitkontrol.
Organisationer skal have skriftlige politikker, der definerer, hvilke aktiver der skal returneres ved opsigelse og personale for at bekræfte modtagelsen og sikre opgørelse og regnskabsføring af aktiver.
Hvad er formålet med bilag A 5.11?
Følgende er eksempler på informationsaktiver for en organisation:
- Fysiske dokumenter.
- Digitale filer og databaser.
- Software programmer.
- Selv immaterielle genstande som forretningshemmeligheder og intellektuel ejendomsret.
En virksomheds informationsaktiver kan være værdifulde på mange måder. Dette inkluderer at indeholde følsomme oplysninger om sine kunder, medarbejdere eller andre interessenter, som dårlige aktører kan udnytte til økonomisk vinding eller identitetstyveri. Ud over finansiel, forskningsmæssig og operationel information kunne de give dine konkurrenter en konkurrencefordel, hvis de var i stand til at få adgang til den.
Af denne grund skal alle aktiver og aktiver for medarbejdere og entreprenører, der opsiger deres ansættelse i en organisation, returneres.
Som en del af exitprocessen skal aktiver returneres i henhold til processen, medmindre andet er aftalt og dokumenteret:
- Bilag A.5 skitserer de skridt, der skal tages, hvis ikke-tilbageleveringen registreres som en sikkerhedshændelse.
- For at sikre fortsat beskyttelse, periodiske aktivrevisioner er også nødvendige for at sikre, at proceduren for tilbagelevering af aktiver er idiotsikker.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ændring af ansættelsesstatus i henhold til ISO 27001:2022 bilag a 5.11
Som en del af ændring eller opsigelse af ansættelse, kontrakter eller aftaler, beskytter kontrol 5.11 organisationens aktiver. Det er forbudt for uautoriserede personer at beholde organisationsaktiver (herunder udstyr, information, software osv.) under dette bilag A-kontrol.
Du skal sikre, at dine medarbejdere og entreprenører ikke tager følsomme data ved at identificere potentielle trusler og overvåge brugerens aktivitet, før de forlader.
Når en person opsiges, forhindrer denne bilag A-kontrol vedkommende i at få adgang til it-systemer og netværk. En formel opsigelsesproces bør etableres af organisationer, så enkeltpersoner ikke længere kan få adgang til nogen it-systemer. Du kan opnå dette ved at tilbagekalde alle tilladelser, deaktivere konti og fjerne adgangen til bygningslokaler.
Det er nødvendigt at etablere procedurer for at sikre, at alle medarbejdere, entreprenører og andre relevante parter returnerer alle aktiver, der ikke længere er nødvendige til forretningsformål. Disse aktiver bør udskiftes så hurtigt som muligt.
Organisationer bør også kontrollere den enkeltes arbejdsområde for at sikre, at alle følsomme oplysninger er blevet returneret.
Overvej for eksempel:
- Organisationens udstyr (laptops og flytbare medier) indsamles ved adskillelse.
- Ved kontraktafslutning er entreprenører forpligtet til at returnere alt udstyr og information.
Opbygning af en exitproces og hvad du skal gøre
En organisation skal formalisere sin ændrings- eller opsigelsesproces, som omfatter returnering af alle tidligere udstedte fysiske og elektroniske aktiver, der ejes eller er betroet den.
Alle adgangsrettigheder, konti, digitale certifikater og adgangskoder bør også fjernes som en del af processen. Denne formalisering er især kritisk, når en ændring eller opsigelse sker uventet, såsom død eller fratræden. Uautoriseret adgang til organisationens aktiver kan føre til en bruddet hvis ikke forhindret.
En sikker bortskaffelses-/returneringsproces skal sikre, at alle aktiver er bogført.
ISO 27001:2022 kræver, at organisationen identificerer og dokumenterer alle oplysninger og tilknyttede aktiver, der skal returneres, herunder:
- Bruger-endepunktsenheder.
- Bærbare lagerenheder.
- Specialudstyr.
- Autentificeringshardware (f.eks. mekaniske nøgler, fysiske tokens og smartcards) til informationssystemer, websteder og fysiske arkiver.
- Fysiske kopier af information.
Efter opsigelsen skal brugeren udfylde en formel tjekliste, der indeholder alle de genstande, der skal returneres eller bortskaffes. Denne tjekliste bør indeholde alle nødvendige underskrifter for at bekræfte, at aktiverne er blevet korrekt returneret eller bortskaffet.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvad er ændringerne og forskellene fra ISO 27001:2013?
ISO 27001:2013 blev opdateret i oktober 2022 til ISO 27001:2022.
Bilag A kontrol 5.11 er ikke ny, men en ændring af bilag A kontrol 8.1.4 – tilbagelevering af aktiver.
I implementeringsretningslinjerne er bilag A-kontroller i det væsentlige de samme med lignende sprog og fraseologi. Imidlertid, ISO 27001:2022's bilag A kontrol 5.11 har en attributtabel, der lader brugere matche den til det, de implementerer. Kontrol 5.11 i ISO 27001:2022 specificerer, hvilke aktiver der kan returneres ved ansættelses- eller kontraktophør.
Eksempler på disse omfatter:
- Bruger-endepunktsenheder.
- Bærbare lagerenheder.
- Specialudstyr.
- Autentificeringshardware (f.eks. mekaniske nøgler, fysiske tokens og smartcards) til informationssystemer, websteder og fysiske arkiver.
- Fysiske kopier af information.
I ISO 27001:2013-versionen er denne liste ikke tilgængelig.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan påvirker disse ændringer dig?
ISO 27001:2022 er en opdatering til 2013-standarden. Det udvalg, der fører tilsyn med standarden, har ikke foretaget væsentlige ændringer.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.online Hjælp
Du kan implementere og administrere et ISO 27001/27001 Information Security Management System med ISMS.online, uanset din erfaring med standarden.
Den perfekte fusion af viden og teknologi til tidlig ISO 27001 succes. ISMS.online indeholder en politik og et værktøj til formueforvaltning.
Med vores system bliver du guidet trin-for-trin gennem opsætning af et ISMS og administration af det:
- ISMS.online giver en trin-for-trin guide til implementering af ISO 27001/27002 i enhver organisation.
- Et risikovurderingsværktøj, der guider dig gennem risikoidentifikations- og vurderingsprocessen.
- Vi tilbyder en politikpakke der kan tilpasses til dine behov online.
- Håndtering af dokumenter og registreringer som en del af dit ISMS er nemmere med et dokumentkontrolsystem.
- Bedre beslutningstagning gennem automatisk rapportering.
- Med vores cloud-baserede platform vil du være i stand til at dokumentere bevis for overholdelse af ISO 27001 rammeværk med en tjekliste over dine processer.
Kontakt i dag for book en demo.
